Los piratas informáticos abusan cada vez más de la función legítima de los túneles de Cloudflare para crear conexiones HTTPS sigilosas desde dispositivos comprometidos, eludir los firewalls y mantener la persistencia a largo plazo.
La técnica no es completamente nueva, ya que Phylum informó en enero de 2023 que los actores de amenazas crearon paquetes PyPI maliciosos que usaban túneles Cloudflare para robar datos de forma sigilosa o acceder a dispositivos de forma remota.
Sin embargo, parece que más actores de amenazas han comenzado a usar esta táctica, como informaron los equipos DFIR y GRIT de GuidePoint la semana pasada, al ver un aumento en la actividad.
Abuso de los túneles de Cloudflare
CloudFlare Tunnels es una característica popular proporcionada por Cloudflare, que permite a los usuarios crear conexiones seguras y solo salientes a la red de Cloudflare para aplicaciones o servidores web.
Los usuarios pueden implementar un túnel simplemente instalando uno de los clientes cloudflared disponibles para Linux, Windows, macOS y Docker.
A partir de ahí, el servicio se expone a Internet en un nombre de host especificado por el usuario para adaptarse a escenarios de casos de uso legítimos, como compartir recursos, realizar pruebas, etc.
Los túneles de Cloudflare brindan una variedad de controles de acceso, configuraciones de puerta de enlace, administración de equipos y análisis de usuarios, lo que brinda a los usuarios un alto grado de control sobre el túnel y los servicios comprometidos expuestos.
En el informe de GuidePoint, los investigadores dicen que más actores de amenazas abusan de los túneles de Cloudflare con fines nefastos, como obtener acceso sigiloso y persistente a la red de la víctima, evadir la detección y filtrar los da tos de los dispositivos comprometidos.
Un solo comando desde el dispositivo de la víctima, que no expone nada más que el token de túnel único del atacante, es suficiente para configurar el canal de comunicación discreto. Al mismo tiempo, el actor de amenazas puede modificar la configuración de un túnel, deshabilitarlo y habilitarlo según sea necesario en tiempo real.
Fuente: GuidePoint
"El túnel se actualiza tan pronto como se realiza el cambio de configuración en el panel de control de Cloudflare, lo que permite a los TA habilitar la funcionalidad solo cuando desean realizar actividades en la máquina de la víctima y luego deshabilitar la funcionalidad para evitar la exposición de su infraestructura", explica GuidePoint.
"Por ejemplo, el TA podría habilitar la conectividad RDP, recopilar información de la máquina de la víctima y luego deshabilitar RDP hasta el día siguiente, lo que reduce la posibilidad de detección o la capacidad de observar el dominio utilizado para establecer la conexión".
Debido a que la conexión HTTPS y el intercambio de datos se realizan a través de QUIC en el puerto 7844, es poco probable que los firewalls u otras soluciones de protección de red marquen este proceso a menos que estén configurados específicamente para hacerlo.
Fuente: GuidePoint
Además, si el atacante quiere ser aún más sigiloso, puede abusar de la función ' TryCloudflare ' de Cloudflare que permite a los usuarios crear túneles únicos sin crear una cuenta.
Para empeorar las cosas, GuidePoint dice que también es posible abusar de la función 'Redes privadas' de Cloudflare para permitir que un atacante que ha establecido un túnel a un dispositivo de un solo cliente (víctima) acceda a una gama completa de direcciones IP internas de forma remota.
"Ahora que la red privada está configurada, puedo cambiar a dispositivos en la red local y acceder a servicios que están limitados a los usuarios de la red local", advirtió Nic Finn, investigador de GuidePoint.
Para detectar el uso no autorizado de los túneles de Cloudflare, GuidePoint recomienda que las organizaciones controlen las consultas de DNS específicas (compartidas en el informe) y utilicen puertos no estándar como 7844.
Además, dado que Cloudflare Tunnel requiere la instalación del cliente ' cloudflared ', los defensores pueden detectar su uso al monitorear los hashes de archivos asociados con las versiones del cliente.
